- Wer personenbezogene Daten durch externe Dienstleister verarbeiten lässt, braucht einen AVV nach Art. 28 DSGVO. Das gilt für Hosting, Newsletter-Tools, CRM-Systeme, Cloud-Dienste und Analyse-Software.
- Fehlt der AVV oder ist er inhaltlich lückenhaft, kann die Datenschutzbehörde nach Art. 83 Abs. 4 DSGVO Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen.
- Art. 28 Abs. 3 DSGVO schreibt acht Pflichtinhalte vor, die in jedem AVV stehen müssen, darunter Weisungsbindung, technische und organisatorische Maßnahmen sowie Regelungen zu Unterauftragsverarbeitern.
- Nicht jede externe Datenverarbeitung ist eine Auftragsverarbeitung. Wer eigenverantwortlich entscheidet, wie Daten verarbeitet werden, ist selbst Verantwortlicher, kein Auftragsverarbeiter.
Stellen Sie sich vor, Ihr Webhoster speichert die E-Mail-Adressen Ihrer Newsletter-Abonnenten auf seinen Servern. Sie haben damit die Hoheit darüber, welche Daten dort landen und was damit geschieht. Der Hoster führt nur aus, was Sie vorgeben. Genau das ist Auftragsverarbeitung: Sie bleiben Verantwortlicher, der Hoster wird zum Auftragsverarbeiter. Und dieses Verhältnis muss schriftlich geregelt sein, bevor die erste Zeile Daten fließt.
Dieser Artikel erklärt, was ein AVV regeln muss, wann er zwingend ist, und warum in der Praxis ausgerechnet die vermeintlich kleinen Lücken das größte Risiko darstellen. Rechtliche Hinweise im Einzelfall gibt nur ein Fachanwalt oder zertifizierter Datenschutzbeauftragter. Dieser Text ist eine fachliche Einordnung.
Was ist ein Auftragsverarbeitungsvertrag?
Der Begriff steht in Art. 4 Nr. 8 DSGVO: Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist das Wort „im Auftrag“. Der Dienstleister bestimmt nicht selbst, was mit den Daten passiert, er handelt nach Ihren Weisungen. Nach Art. 29 DSGVO darf ein Auftragsverarbeiter Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, eine gesetzliche Verpflichtung besteht.
Das Instrument zur Absicherung dieses Verhältnisses ist der AVV. Er ist kein freiwilliger Zusatzvertrag, sondern eine datenschutzrechtliche Pflicht. Art. 28 Abs. 3 DSGVO schreibt vor, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen muss. Dieser Vertrag muss schriftlich abgefasst sein, wobei auch ein elektronisches Format zulässig ist (Art. 28 Abs. 9 DSGVO).
Für Unternehmen, die eine DSGVO-konforme Website betreiben wollen, ist der AVV damit kein Optionalpunkt auf der Prüfliste, sondern eine Grundvoraussetzung.
Wann ist ein AVV Pflicht?
Die Frage, ob ein AVV nötig ist, hängt an zwei Bedingungen: Werden personenbezogene Daten verarbeitet, und tut das ein externer Dienstleister in Ihrem Auftrag statt eigenverantwortlich? Sind beide Antworten „Ja“, ist der AVV zwingend.
Typische Fälle, in denen ein AVV erforderlich ist:
- Der Webhoster, der Ihre Website betreibt und dadurch Zugriff auf Besucherdaten und Kontaktformular-Eingaben hat
- Das E-Mail-Marketing-Tool, über das Sie Newsletters versenden
- Cloud-Speicherdienste für Kundendokumente (SharePoint, Google Drive, Dropbox)
- CRM-Systeme, in denen Kundendaten gepflegt werden
- Buchhaltungs- oder Warenwirtschaftssoftware als SaaS-Lösung
- Analyse-Tools wie Matomo oder Google Analytics
- Druckdienstleister, denen Sie Adresslisten für einen Mailing-Versand übergeben
- Support-Ticketsysteme mit Kundendaten
Keine Auftragsverarbeitung liegt hingegen vor, wenn der externe Dienstleister die Daten eigenverantwortlich verarbeitet und selbst über Zweck und Mittel entscheidet. Das klassische Beispiel ist der Steuerberater: Er handelt auf Basis einer eigenen gesetzlichen Verpflichtung und mit fachlicher Eigenverantwortung. Die deutschen Datenschutzbehörden sehen in dieser Konstellation keine Auftragsverarbeitung, sondern eine eigenverantwortliche Verarbeitung. Auch Rechtsanwälte und andere Berufsgeheimnisträger fallen in der Regel nicht unter die AVV-Pflicht, weil sie nicht weisungsgebunden tätig werden.
Wenn Sie unsicher sind, ob ein Dienstleister als Auftragsverarbeiter einzustufen ist, hilft die Leitfrage: Entscheide ich, was mit den Daten geschieht, oder entscheidet das der Dienstleister? Wer entscheidet, ist Verantwortlicher. Wer ausführt, ist Auftragsverarbeiter.
Pflichtinhalte nach Art. 28 Abs. 3 DSGVO
Der Gesetzgeber hat den Mindestinhalt eines AVV in Art. 28 Abs. 3 lit. a bis h DSGVO verbindlich festgelegt. Diese acht Punkte sind kein Empfehlungsrahmen, sondern Pflichtinhalt:
a) Weisungsbindung
Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen. Das schließt auch die Übermittlung in Drittstaaten ein, sofern keine gesetzliche Verpflichtung zur Verarbeitung besteht. Die Weisung muss schriftlich oder in einem elektronischen Format dokumentiert sein.
b) Vertraulichkeit
Alle Personen, die Zugang zu den personenbezogenen Daten haben, müssen zur Vertraulichkeit verpflichtet sein. Das umfasst Mitarbeiter, Freelancer und alle weiteren Personen mit Datenzugriff beim Auftragsverarbeiter.
c) Technische und organisatorische Maßnahmen
Der AVV muss sicherstellen, dass der Auftragsverarbeiter alle erforderlichen Maßnahmen nach Art. 32 DSGVO ergreift: Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit und ein Verfahren zur regelmäßigen Überprüfung. Diese Maßnahmen sollten konkret im AVV oder in einem beigefügten Anhang beschrieben sein, nicht nur pauschal als „angemessene Maßnahmen“ erwähnt werden.
d) Unterauftragsverarbeiter
Der AVV muss regeln, unter welchen Bedingungen der Auftragsverarbeiter weitere Unterauftragsverarbeiter einsetzen darf. Dazu unten mehr.
e) Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter muss den Verantwortlichen dabei unterstützen, Anfragen von Betroffenen zu beantworten, also Auskunft zu erteilen, Daten zu berichtigen oder zu löschen. Technisch bedeutet das: Der Dienstleister muss die entsprechenden Abfragen möglich machen.
f) Unterstützung bei Datensicherheit und Meldepflichten
Der Auftragsverarbeiter muss den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO unterstützen, insbesondere bei der Meldung von Datenpannen an die Aufsichtsbehörde (Art. 33 DSGVO) und bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).
g) Löschung oder Rückgabe nach Vertragsende
Nach Ende des Auftragsverhältnisses muss der Dienstleister alle personenbezogenen Daten löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der AVV muss diese Pflicht klar benennen.
h) Prüf- und Kontrollrechte
Der Verantwortliche muss das Recht haben, die Einhaltung der Datenschutzpflichten beim Auftragsverarbeiter zu überprüfen. Das kann durch eigene Audits oder durch die Vorlage von Zertifikaten und Testatberichten erfolgen. Ein AVV, der jede Kontrolle ausschließt, ist mit Art. 28 DSGVO nicht vereinbar.
Zusätzlich zu diesen acht Punkten muss der AVV den Gegenstand, die Dauer, Art und Zweck der Verarbeitung sowie die Kategorien betroffener Personen und die Arten verarbeiteter Daten beschreiben, typischerweise in einem Anhang. Pauschale Formulierungen wie „alle kundenbezogenen Daten“ genügen nicht.
Unterauftragsverarbeiter: die versteckte Kette
In der Realität nutzen die meisten SaaS-Anbieter selbst wiederum externe Dienste: Rechenzentren, Monitoring-Dienste, Support-Tools, CDN-Anbieter. Jede dieser Stellen kann ebenfalls personenbezogene Daten Ihrer Kunden sehen. Das sind Unterauftragsverarbeiter, und sie müssen vertraglich eingebunden sein.
Art. 28 Abs. 2 DSGVO verlangt eine „vorherige gesonderte oder allgemeine schriftliche Genehmigung“ des Verantwortlichen. In der Praxis bedeutet das:
- Allgemeine Genehmigung: Der AVV erlaubt den Einsatz von Unterauftragsverarbeitern grundsätzlich, verpflichtet aber den Dienstleister, Sie über jeden neuen Subunternehmer zu informieren. Sie haben dann das Recht zu widersprechen.
- Gesonderte Genehmigung: Jeder neue Unterauftragsverarbeiter muss von Ihnen explizit freigegeben werden. Das ist sicherer, aber in der Praxis aufwendiger.
Nach Art. 28 Abs. 4 DSGVO haftet der Auftragsverarbeiter Ihnen gegenüber für Datenschutzverstöße seiner Unterauftragsverarbeiter. Das ändert aber nichts an Ihrer eigenen Verantwortung als Verantwortlicher: Wenn Ihr Dienstleister und sein Subunternehmer gegen die DSGVO verstoßen, sind Sie am Ende diejenige Stelle, die für die betroffenen Personen erreichbar ist.
Praktisch sollten Sie die Liste der eingesetzten Unterauftragsverarbeiter des jeweiligen Dienstleisters aktiv prüfen. Seriöse Anbieter führen diese Liste transparent, oft auf einer dedizierten Seite oder im AVV-Dokument selbst. Ein Dienstleister, der diese Information auf Nachfrage nicht herausgibt, ist ein Warnsignal.
Verantwortlicher oder Auftragsverarbeiter?
Die Abgrenzung ist in der Praxis nicht immer trivial. Art. 28 Abs. 10 DSGVO hält fest: Wer als Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung selbst bestimmt, wird zum Verantwortlichen. Das hat Folgen, denn damit trägt er die volle datenschutzrechtliche Last.
Ein Beispiel macht den Unterschied deutlich: Sie beauftragen ein E-Mail-Marketing-Tool damit, Newsletter an Ihre Abonnenten zu versenden. Solange das Tool nur nach Ihren Vorgaben handelt, wer wann was bekommt, ist es Auftragsverarbeiter. Wenn das Tool anfängt, Ihre Abonnenten für eigene Zwecke zu analysieren oder deren Daten für sein eigenes Produktentwicklungsprogramm zu nutzen, handelt es eigenverantwortlich. Der AVV allein schützt Sie dann nicht mehr, weil das Tool damit selbst zum Verantwortlichen wird, aber eine vertraglich dokumentierte Weisung, das nicht zu tun, ist trotzdem wichtig.
Für Analyse-Tools auf Ihrer Website gilt dasselbe Prinzip: Matomo auf Ihrem eigenen Server ist keine Auftragsverarbeitung, weil kein externer Dienstleister involviert ist. Matomo Cloud oder Google Analytics hingegen schon.
Welche Dienste brauchen einen AVV?
| Dienst | AVV nötig? | Grundlage |
|---|---|---|
| Webhoster (z.B. all-inkl, IONOS, Hetzner) | Ja | Zugriff auf Besucherlog, Formular-Daten |
| E-Mail-Marketing (Mailchimp, CleverReach, Brevo) | Ja | Speicherung und Verarbeitung von Abonnenten |
| Google Analytics / GA4 | Ja | Verarbeitung von Nutzerdaten im Google-Auftrag |
| Matomo (gehostet bei Anbieter) | Ja | Externer Server verarbeitet Nutzerdaten |
| Matomo (selbst gehostet, eigener Server) | Nein | Keine externe Datenverarbeitung |
| CRM-Software (HubSpot, Salesforce, Zoho) | Ja | Speicherung von Kundendaten in fremder Cloud |
| Cloud-Speicher (Google Drive, SharePoint) | Ja | Externe Speicherung mit Zugriff des Anbieters |
| Buchhaltungs-SaaS (Lexoffice, DATEV Online) | Ja | Verarbeitung von Kunden- und Mitarbeiterdaten |
| Druckdienstleister (Adresslisten) | Ja | Übergabe personenbezogener Daten zur Verarbeitung |
| Steuerberater | In der Regel Nein | Eigenverantwortliche Tätigkeit, keine Weisungsbindung |
| Rechtsanwalt | In der Regel Nein | Berufsgeheimnisträger, eigenverantwortliche Leistung |
| Kreditinstitut (Zahlungsabwicklung) | In der Regel Nein | Eigenverantwortliche Verarbeitung auf gesetzlicher Basis |
Hinweis: Die Einordnung „Steuerberater: kein AVV“ entspricht der gängigen Auffassung deutscher Datenschutzbehörden. Da der Steuerberater fachlich eigenständig und auf eigener gesetzlicher Grundlage tätig wird, gilt er nicht als Auftragsverarbeiter. Gleichwohl empfehlen einige Behörden eine Verschwiegenheitsvereinbarung. Sprechen Sie dies mit Ihrem Datenschutzbeauftragten ab, wenn Sie unsicher sind.
Typische Fehler in der Praxis
Fehlende Dienstleisterliste und Lücken bei neuen Tools
Das häufigste Problem ist kein fehlender AVV für das Kernsystem, sondern fehlende Verträge für Tools, die stillschweigend dazugekommen sind. Ein Marketingverantwortlicher richtet ein neues E-Mail-Tool ein, ein Entwickler bindet ein Support-Widget ein. Beides verarbeitet personenbezogene Daten, keiner hat nachgefasst, ob ein AVV vorliegt. Eine gepflegte Übersicht aller Verarbeitungstätigkeiten nach Art. 30 DSGVO ist das beste Mittel dagegen, weil sie erzwingt, jeden Dienstleister zu dokumentieren.
TOMs zu vage beschrieben
Ein AVV, der technische und organisatorische Maßnahmen nur mit Formulierungen wie „angemessene Sicherheitsmaßnahmen nach dem Stand der Technik“ beschreibt, ist schwach. Wenn eine Datenpanne passiert und die Aufsichtsbehörde den AVV prüft, wird sie konkrete Angaben erwarten: welche Verschlüsselung, welche Zugangskontrollen, wie oft werden Backups geprüft. Fordern Sie von Ihren Dienstleistern ein TOM-Dokument an und hängen es an den AVV.
Standardvertrag ohne Prüfung akzeptiert
Große Anbieter stellen ihren AVV im Kundenkonto bereit. Das ist bequem und zulässig, solange der Inhalt Art. 28 DSGVO entspricht. Nicht jeder Standardvertrag ist aber vollständig. Besonders bei amerikanischen Anbietern fehlen manchmal Regelungen zu Unterauftragsverarbeitern oder die Kontrollrechte sind auf symbolische Maßnahmen reduziert. Prüfen Sie, ob alle acht Punkte aus Art. 28 Abs. 3 abgedeckt sind, bevor Sie den Vertrag akzeptieren. Müssen Sie selbst einen Vertrag formulieren, bietet der Bundesbeauftragte für den Datenschutz (BFDI) ein Muster zur Auftragsverarbeitung (Version 2.1, Stand: 2023) an, das die Pflichtinhalte abdeckt und als Grundlage genutzt werden kann.
Datentransfer in Drittstaaten ohne Zusatzabsicherung
Ein AVV allein reicht nicht, wenn Daten in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Seit Juli 2023 besteht mit dem EU-U.S. Data Privacy Framework ein Angemessenheitsbeschluss für zertifizierte US-Unternehmen. Ob der konkrete Anbieter zertifiziert ist, müssen Sie aktiv prüfen. Für andere Drittstaaten greifen Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften als Zusatzabsicherung. Der AVV kann das allein nicht ersetzen.
AVV einmalig abgeschlossen, nie überprüft
Ein AVV verliert seinen Wert, wenn er den aktuellen Stand der Verarbeitung nicht mehr widerspiegelt. Ändert sich der Umfang der Datenverarbeitung wesentlich, setzt der Dienstleister neue Unterauftragsverarbeiter ein, oder ändert sich die Rechtslage, muss der Vertrag angepasst werden. Planen Sie mindestens einmal jährlich eine Überprüfung aller bestehenden Auftragsverarbeitungsverträge.
Praxisbeispiel: Was ein lückenhafter AVV kostet
In einem Projekt für einen Onlineshop haben wir im Rahmen eines Website-Audits festgestellt, dass zwar ein AVV mit dem Webhoster vorlag, aber für das eingesetzte E-Mail-Marketing-Tool kein Vertrag geschlossen worden war. Das Tool verarbeitete Adressen, Kaufhistorien und Klick-Daten von rund 4.000 Abonnenten.
Das Risiko war sofort greifbar: Bei einer Beschwerde durch einen Abonnenten hätte die Datenschutzbehörde eine Datenverarbeitung ohne vertragliche Grundlage vorgefunden. Für den Shop-Betreiber hätte das neben einem möglichen Bußgeld nach Art. 83 Abs. 4 DSGVO auch bedeutet, dass die gesamte E-Mail-Kommunikation der letzten zwei Jahre rechtlich nicht abgesichert war. Der Anbieter stellte nach Aufforderung einen AVV bereit; dieser fehlte schlicht, weil niemand im Onboarding-Prozess danach gefragt hatte.
Die Lösung war eine strukturierte Dienstleisterliste: Für jeden eingesetzten Dienst wurde geprüft, ob er personenbezogene Daten verarbeitet, ob er als Auftragsverarbeiter einzustufen ist und ob ein gültiger AVV vorliegt. In zwei Fällen gab es keinen AVV, in einem weiteren war der bestehende Vertrag inhaltlich unvollständig. Für die DSGVO-konforme Ablage von Backups stellte sich in demselben Audit heraus, dass die Backup-Kopien bei einem Drittanbieter ohne jeden Vertrag lagen.
Der Aufwand, diese Lücken zu schließen, war überschaubar. Der Aufwand, sie zu ignorieren, hätte im Schadensfall ein Vielfaches bedeutet.
AVV-Checkliste
- Ein AVV ist Pflicht, sobald ein externer Dienstleister personenbezogene Daten nach Ihren Weisungen verarbeitet. Das gilt für Hosting, Newsletter, CRM, Cloud und Analyse.
- Art. 28 Abs. 3 DSGVO nennt acht Pflichtpunkte: Weisungsbindung, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Datenpannen-Unterstützung, Löschung und Kontrollrechte. Fehlt einer, ist der AVV unvollständig.
- Das größte Praxisrisiko ist nicht das Fehlen eines AVV für die bekannten Kernsysteme, sondern die Lücke bei neuen Tools, die stillschweigend eingeführt werden.
- Ein AVV allein reicht bei Datentransfers in Drittstaaten nicht aus. Er braucht eine Zusatzabsicherung wie einen Angemessenheitsbeschluss oder Standardvertragsklauseln.
Häufige Fragen zum AVV
Muss ich mit meinem Webhoster einen AVV abschließen?
Ja, in aller Regel. Sobald Ihre Website personenbezogene Daten verarbeitet, also über Kontaktformulare, Benutzerkonten oder einen Shop, hat Ihr Hoster Zugriff auf diese Daten und handelt in Ihrem Auftrag. Seriöse Anbieter stellen den AVV standardmäßig im Kundenkonto bereit oder bieten ihn auf Anfrage an.
Kann ich den Standardvertrag eines großen Anbieters einfach akzeptieren?
Das ist grundsätzlich zulässig. Als Verantwortlicher bleiben Sie aber verpflichtet, den Inhalt zu prüfen. Nicht jeder Standardvertrag deckt alle acht Pflichtpunkte aus Art. 28 Abs. 3 DSGVO vollständig ab. Schauen Sie besonders auf die TOM-Beschreibung und die Regelung zu Unterauftragsverarbeitern.
Darf mein Dienstleister eigene Subunternehmer einsetzen?
Nur wenn Ihr AVV das erlaubt. Es gibt zwei Modelle: allgemeine Genehmigung mit Informationspflicht bei neuen Unterauftragsverarbeitern, oder gesonderte Genehmigung für jeden einzelnen Subunternehmer. Sie haben bei allgemeiner Genehmigung das Recht zu widersprechen, wenn ein neuer Subunternehmer eingesetzt wird.
Was passiert, wenn ein AVV fehlt?
Die Datenverarbeitung durch den Dienstleister ist ohne AVV datenschutzrechtlich nicht gedeckt. Die Aufsichtsbehörde kann nach Art. 83 Abs. 4 DSGVO Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen. Hinzu kommt: Bei einer Datenpanne oder einer Betroffenenbeschwerde haben Sie keine vertragliche Grundlage, auf die Sie sich beziehen können.
Gilt ein AVV auch für US-amerikanische Anbieter?
Ja, auch für Anbieter außerhalb der EU brauchen Sie einen AVV. Dieser allein reicht aber nicht. Für Datentransfers in die USA ist seit Juli 2023 das EU-U.S. Data Privacy Framework eine mögliche Grundlage, aber nur für zertifizierte Unternehmen. Ob Ihr konkreter Anbieter diese Zertifizierung hat, müssen Sie selbst prüfen. Fehlt sie, braucht es Standardvertragsklauseln als Zusatzabsicherung.
Muss ich einen AVV neu abschließen, wenn der Dienstleister seine Subunternehmer ändert?
Nicht zwingend neu abschließen, aber der Änderung muss Rechnung getragen werden. Bei allgemeiner Genehmigung müssen Sie über neue Unterauftragsverarbeiter informiert werden und haben ein Widerspruchsrecht. Wenn der AVV selbst eine Liste der Unterauftragsverarbeiter enthält und diese Liste sich ändert, muss der Vertrag entsprechend angepasst werden.